39 MARCO CASELLI Un occhiata al cyber-crime

Transcript

1 GLOBAL CYBER SECURITY CENTER 39 MARCO CASELLI Un occhiata al cyber-crime 42 SALVATORE DI BLASI Bitcoin: una valuta digitale rivoluzionaria apre nuove opportunità ai cyber criminali 45 Eventi segnalati da GCSEC 38

2 2011 Un occhiata al cyber-crime L articolo offre una panoramica sui principali attacchi che hanno caratterizzato l anno appena trascorso GLOBAL CYBER SECURITY CENTER Marco Caselli GCSEC Secondo le ultime notizie riportate da Symantec e McAfee, il 2011 sarà ricordato come l anno con il più alto numero di minacce informatiche. Alcuni articoli parlano di almeno 70 milioni di malware differenti in giro per il mondo e sottolineano come gli smartphone siano diventati i principali veicoli di questa diffusione. Nonostante ciò gli utenti sembrano essere sempre più a conoscenza di queste minacce ed oltretutto chiedono costantemente di essere informati su rischi e contromisure. Blog e giornali danno ampio spazio alle news riguardanti attacchi informatici; termini come Wikileaks, Anonymous e Stuxnet non sono più vocaboli sconosciuti. Ma quali eventi hanno suscitato maggior interesse nell opinione pubblica in questi ultimi dodici mesi? Primo in ordine temporale, l attacco contro la Sony Playstation Network ha di certo generato parecchio clamore. La comunità di giocatori online è stata sconvolta il 2 Giugno dall annuncio di un gruppo di hacker chiamato Lulzsec che affermava di aver rubato informazioni private di un milione di utenti. La compagnia giapponese, sotto attacco da più di un mese, non ha potuto far altro che confermare il problema (e dunque le sue vulnerabilità) mentre correva già ai ripari bloccando tutti i servizi online. La situazione sarebbe stata risolta solo molto tempo dopo. Poco dopo, lo stesso gruppo di attivisti è nuovamente salito agli onori della cronaca con un altra azione su larga scala. L obiettivo: le 39

3 GLOBAL CYBER SECURITY CENTER università italiane; accusate di avere siti istituzionali fragili e di essere incapaci di mantenere un minimo livello di sicurezza sui dati di studenti e professori. Sebbene i rettori si siano schierati in prima linea negando la rilevanza delle informazioni rubate il danno d immagine è stato fortemente percepito. Agosto ha registrato considerevoli attacchi informatici contro le forze dell ordine statunitensi. In rappresaglia agli arresti di alcuni hacker affiliati al gruppo, Anonymous ha fatto virtuale irruzione in più di 70 agenzie governative modificando il contenuto dei server o mettedoli fuori uso. Dieci gigabyte di , password e documenti classificati sono stati sottratti e resi disponibili su Internet. Questa azione è parte di una campagna più estesa denominata operazione AntiSec. Tale operazione è stata portata avanti sia da Anonymous che da Lulzsec durante il mese di Giugno con l obiettivo di sensibilizzare gli internauti sull impatto critico di un intensiva ed incontrollata condivisione di falle di sicurezza riguardanti i sistemi informatici (pratica nota col nome di full-disclosure ). Secondo il loro manifesto e riconnettendosi al movimento Antisec (comunque estraneo alle attività di hacking) gli attivisti hanno deciso di ostacolare quelle industrie e compagnie che, attraverso martellanti campagne pubblicitarie sulle vulnerabilità dei sistemi, adottino dunque un metodo di profitto basato sullo sviluppo di tattiche semi-terroristiche atte a convincere le persone a comprare i loro firewall, anti-virus e software di monitoraggio. L operazione AntiSec è tuttora in corso e l ultimo exploit, datato 18 Novembre, ha coinvolto Alfredo Fred Baclagan, agente speciale addetto alle investigazioni riguardanti crimini informatici, le cui dell account Gmail sono state rese pubbliche sul famoso sito web The Pirate Bay. A chiudere un estate decisamente calda, è certamente degno di nota l ingente violazione di dati subita da Epson Korea che ha interessato le informazioni sensibili di ben utenti registrati. La compagnia ha reagito immediatamente chiedendo a ciascun utente che avesse accesso ai servizi online di cambiare le credenziali d accesso. Nonostante questo, il costo stimato a coprire i danni dell attacco ammonta a $. Agni inizi di Settembre, poco prima che fosse celebrato il World Hack Day, un gruppo di cracker si è fatto conoscere rendendo inaccessibili numerosi portali di grandi compagnie. I siti di UPS, Vodafone, Acer, The Register, BetFair ed anche National Geographic sono stati virtualmente irraggiungibili e, per chiunque avesse tentato, l effetto sarebbe stato quello di redirigere la connessione ad un sito web gestito da un hacker turco sul proprio server.

4 In questo caso, l attacco non è stato commesso attraverso un accesso illegale a macchine o infrastrutture di rete bensì manomettendo i record DNS che consentono di convertire un nome di dominio (ad esempio nel relativo indirizzo IP. Come è stato successivamente confermato dagli autori dell exploit, non c era alcun interesse nel mettere a rischio le informazioni degli utenti coinvolti ma, come spesso succede, solo di mostrare come questa possibilità fosse tutt altro che remota. Nello stesso periodo, Tor (un progetto di sviluppo software che offre applicativi per le comunicazioni sicure ed anonime sulla rete Internet) faceva sapere che l autorità certificatrice Diginotar aveva lasciato che alcuni cracker riuscissero a creare falsi certificati SSL che avrebbero dunque permesso loro di mascherare le vere identità dietro fittizie pagine web ai browser che vi avessero fatto richiesta. Il numero di documenti digitali illegali ha raggiunto le 500 unità, tutte riguardanti siti importanti del calibro di Facebook, Twitter, Mozilla, Google, Skype, Microsoft e Yahoo ma anche di istituzioni dedite alla sicurezza come la CIA, l MI6 e il Mossad. Attraverso tecniche del tipo Man-inthe-Middle molti utenti hanno creduto di accedere ai portali online delle suddette compagnie senza sapere che stavano in realtà consegnando i loro dati nelle mani sbagliate. Infine, è attualmente sotto osservazione da parte degli esperti un nuovo malware identificato alla fine di Settembre. Nickname: Duqu. È interessante come questa minaccia sia stata fin dal principio collegata a Stuxnet (qualcuno parla di Stuxnet 2 ) anche se, nonostante le somiglianze ed il bersaglio comune (i sistemi SCADA), l obiettivo sia abbastanza diverso. Se Stuxnet mira a compromettere i sistemi industriali replicandosi il più velocemente e largamente possibile, Duqu tenta di acquisire informazioni nella maniera meno intrusiva consentita, probabilmente preparando la strada ad un altro tipo di attacco. Appena qualche giorno fa avrei probabilmente terminato la lista con un attacco informatico che di certo ha creato molto scalpore. Apparentemente le notizie circa la pompa idrica dell Illinois danneggiata dalla Russia a Novembre ci insegna quanto sia importante mantenere sicure infrastrutture critiche come quelle energetiche e come impianti industriali ma, dato che è stato scoperto che l hacker in questione era semplicemente uno sbadato operatore in viaggio all estero la lezione reale sembra essere (anche) che la necessità di essere informati, menzionata nell introduzione, non deve limitarsi alla prima pagina visualizzata da Google ma dovrebbe spingerci ad esplorare un po più in profondità. GLOBAL CYBER SECURITY CENTER

5 GLOBAL CYBER SECURITY CENTER Bitcoin: una valuta digitale rivoluzionaria apre nuove opportunità ai cyber criminali La diffusa realtà delle valute digitali e i rischi ad esse connessi rispetto alle attività illecite Salvatore Di Blasi GCSEC Le valute digitali sono una realtà diffusa ed il loro utilizzo può portare nuove opportunità di business ma anche nuovi rischi di frodi. Bitcoin è un sistema monetario elettronico sviluppato nel 2009 che utilizza una forte tecnologia crittografica e, soprattutto, funziona senza essere soggetto a nessuna autorità centrale, come banche, istituzioni finanziarie o governative. Gli utenti di Bitcoin sono anonimi, nessuna informazione personale viene inviata alla community eccetto che per l indirizzo, che non può rivelarne l identità; gli utenti possono generare collettivamente nuove monete (Bitcoin), mandare Bitcoin ad altri utenti o cambiare Bitcoin in valute ufficiali come l Euro e il Dollaro. Le transazioni e la produzione di Bitcoin sono in effetti realizzate tra e dagli stessi utenti di Bitcoin, senza altri intermediari; un complesso algoritmo controlla in maniera automatica e deterministica il tasso di creazione di moneta, permette agli utenti di verificare la legittimità di tutte le transazioni e previene i tentativi di spesa non autorizzati. Grazie alla sua natura distribuita, il sistema non ha punti di criticità e non può essere introdotto nessun meccanismo da Grande Fratello ; la conseguenza è che i fee delle transazioni, paragonati a quelle delle banche e delle istituzioni finanziarie, sono bassissimi. E, soprattutto, a causa della mancanza di un entità centrale, non c è nessun soggetto autorizzato che può chiudere account sospetti o congelare un portafoglio di Bitcoin. 42

6 Fondamentalmente, Bitcoin può sopravvivere finché esistono utenti. Oggigiorno, il mercato di Bitcoin è cresciuto in diversi settori, i servizi professionali, le donazioni ed i micropagamenti, iniziano ad accettare pagamenti in Bitcoin; comunque, il mercato principale consiste nel cambio della valuta; infatti i Bitcoin possono essere cambiati, tra gli altri, in Dollari USA, Euro, Sterline UK, Franchi Svizzeri e Dollari Australiani. Laddove questo può aprire nuove opportunità di business per il commercio elettronico, allo stesso tempo fa anche nascere nuove opportunità per il mercato nero; sfruttando il fatto che non ci sono banche ed istituzioni che battono moneta e influenzano il mercato e che Bitcoin è un circuito virtuale completamente autoregolato e con una finestra aperta sul mercato reale delle valute, un gruppo criminale è riuscito a gestire un mercato virtuale di droga: i clienti necessitavano solo di bitcoin sufficienti a pagare la droga in maniera anonima e priva di rischi. È possibile sapere chi ha venduto e chi ha acquistato droghe? Le transazioni individuate possono essere annullate? È possibile chiudere gli account identificati nel traffico? La risposta è ancora, per il momento, no. Non esiste un modo semplice per legare le transazioni alle identità: come prove di transazioni avvenute tra utenti ci sono solo degli indirizzi codificati, non c è nessuna informazione utile a rintracciare le identità, visto che gli utenti possono creare diversi alias, teoricamente anche uno per ogni singola transazione. Le transazioni in Bitcoin, una volta effettuate, non sono reversibili, a meno che venga fatta un operazione molto costosa come il rollback di sistema. Infine, non c è modo di chiudere un account sospetto, così come non è facile chiudere l intero sistema Bitcoin. È stato detto che Bitcoin è un economia non sicura costruita con una tecnologia super sicura, riferendosi al fatto che adotta un robusto sistema di crittografia; comunque, l esperienza mostra che la sicurezza di un sistema dipende dalla sicurezza del suo anello più debole ed un sistema non può essere completamente sicuro anche con un meccanismo consolidato di crittografia, se questo viene male implementato oppure integrato in un ambiente vulnerabile. E questo i cybercriminali lo sanno molto bene. Quindi perché mettere in piedi cluster di costosi supercomputer per la moneta, se poi i portafogli di Bitcoin possono essere rubati? È infatti successo che la macchina di un utente Bitcoin è stata infettata ed il wallet file rubato: questo perché le prime release delle applicazioni client di Bitcoin non erano configurate di default con il criptaggio del wallet. Inoltre, altri attaccanti hanno valutato la possibilità di sfruttare un bot dedicato per prendere il controllo di un elevato numero di macchine infettate su Internet, utilizzandone la potenza di calcolo per aumentare le possibilità di rubare Bitcoin. Comunque, i clienti non sono gli unici punti deboli dell ecosistema Bitcoin. Una delle piattaforme Bitcoin più utilizzate ha subito recentemente due attacchi di seguito: dapprima un utente ha dichiarato che qualcuno si era inserito nel suo account e aveva trasferito Bitcoin ad un altro account (il valore era tra e dollari USA). Il servizio clienti ha replicato che non era una loro responsabilità perché il sito non era stato violato e l attaccante si era loggato al primo tentativo, quindi il problema era esclusivamente dell utente. Ma non finisce qui. Successivamente lo stesso sito ha subíto un grosso attacco, con la violazione dell intero database di utenti. Sembra che il database includesse dati come nome, password e indirizzi di quasi utenti; addirittura, non erano state osservate le best practice nella protezione delle informazioni personali sensibili. Ovviamente, il database è stato poi messo in vendita al miglior offerente. Infine, dopo l attacco, quasi Bitcoin sono stati messi in vendita sulla stessa piattaforma a tassi bassissimi, causando quindi un crollo di mercato: da un valore di circa 17 Dollari per Bitcoin, si è passati al valore di 1 penny. Ci sono diverse opinioni sul fatto che Bitcoin possa essere considerato un sistema sicuro, che può affermarsi come innovazione rivoluzionaria nell economia dei pagamenti digitali. La volatilità del mercato ed i problemi di sicurezza GLOBAL CYBER SECURITY CENTER 43

7 GLOBAL CYBER SECURITY CENTER hanno enfatizzato l importanza della maturità, resilienza e stabilità del sistema Bitcoin: al momento sembra che la comunità sia ancora entusiasta e che solo lo stesso Bitcoin può abbattere Bitcoin. Per migliorare la sicurezza del sistema di Bitcoin e ridurre le possibilità di commettere attività illecite, possiamo provare ad identificare alcune possibili aree d azione. La mancanza totale di regolamentazione e di una chiara base giuridica, rende evidente la necessità di determinare lo status legale di Bitcoin. Ad oggi, il grosso del traffico di Bitcoin proviene dagli Stati Uniti ed il Canada, ma ci si può aspettare ulna sua crescita anche in altre aree, come l Europa; quindi, sarebbe auspicabile che le parti regolatorie e legislative si siedano ad un tavolo e comincino seriamente a monitorare l evoluzione del sistema, per valutare se Bitcoin può essere considerato illegale o no, ed in quali circostanze. Probabilmente sono previste nuove frodi e attività illecite nell uso di Bitcoin, quindi ci si può aspettare nel prossimo futuro un intervento delle forze dell ordine. Al momento, l unico punto debole del sistema sembra essere l utente finale. Se questo è vero, per come è stato progettato, Bitcoin fornisce un certo livello di anonimato che potrebbe anche essere utile per le forze dell ordine per creare account di copertura e infiltrarsi nel sistema, alla ricerca di criminali e truffatori. Inoltre, per aumentare le possibilità di successo delle investigazioni, le forze dell ordine potrebbero richiedere l aiuto dei service provider collegati a Bitcoin, per es. i portali web di cambio valuta, che sicuramente detengono informazioni dettagliate che possono essere associate agli indirizzi Bitcoin. Vale la pena di menzionare anche alcune ricerche per provare che Bitcoin non sempre fornisce il completo anonimato, e questo probabilmente produrrà interessanti risultati nella prospettiva di processare gli utenti. Il successo di Bitcoin sicuramente dipende anche dalla qualità e maturità dei service provider collegati: innanzitutto, dovrebbe essere obbligatorio che questi rafforzino le best practices per rendere sicure le loro applicazioni e proteggere i dati dei loro clienti, sarebbe auspicabile anche una dichiarazione di conformità. Inoltre, una policy inflessibile di nessuna responsabilità nel caso di account violati o incidenti simili, potrebbe scoraggiare l uso degli strumenti e servizi di Bitcoin: forse sono da considerare anche il rafforzamento del servizio clienti, pratiche di incident response e strumenti per aumentare la cultura e la consapevolezza degli utenti, specie in caso di perdite o danni ingenti. Da ultimo, sicuramente appare evidente che la prossima generazione di servizi e applicazioni dovrebbe essere sviluppata con un approccio del tipo prima la sicurezza, poi il resto, altrimenti ci saranno sempre più occasioni per i criminali di commettere attività illecite.

8 Eventi segnalati da GCSEC GLOBAL CYBER SECURITY CENTER Cyber Security: SCADA Systems - A technical exploration of protecting SCADA, smart grid & real-time system Venerdì 30 Marzo 2012 IET Birmingham: Austin Court, UK Georgetown University s International Engagement on Cyber Washington D.C., 10 Aprile ID Security - II Mostra Convegno specializzata sulla sicurezza della Identità Digitale Roma, 19 Aprile ITEC 2012 Londra, Maggio